ההאקרים שפרצו את Twilio ו-Cloudflare מוקדם יותר באוגוסט הסתננו גם ליותר מ-130 ארגונים אחרים באותו קמפיין, ושאבו כמעט 10,000 סטים של אישורי Okta ואימות דו-גורמי (2FA).
כך עולה מחקירה של Group-IB, שמצאה שכמה ארגונים ידועים היו בין אלה שנועדו למסע פישינג מסיבי שהוא מכנה 0ktapus. הפתיונות היו פשוטים, כמו התראות מזויפות שמשתמשים צריכים כדי לאפס את הסיסמאות שלהם. הם נשלחו באמצעות טקסטים עם קישורים לאתרי פישינג סטטיים המשקפים את דף האימות Okta של כל ארגון ספציפי.
"למרות השימוש בשיטות מיומנות נמוכה, [הקבוצה] הצליחה לסכן מספר רב של ארגונים ידועים", אמרו חוקרים ב- פוסט בבלוג היום. "יתר על כן, ברגע שהתוקפים התפשרו על ארגון, הם יכלו במהירות להסתובב ולהשיק התקפות שרשרת אספקה עוקבות, מה שמצביע על כך שהמתקפה תוכננה בקפידה מראש."
כך היה במקרה של הפרת טוויליו שהתרחש ב-4 באוגוסט. התוקפים הצליחו להנדס כמה עובדים למסור את אישורי Okta המשמשים לכניסה יחידה ברחבי הארגון, מה שמאפשר להם לקבל גישה למערכות פנימיות, אפליקציות ונתוני לקוחות. הפרצה השפיעה על כ-25 ארגונים במורד הזרם שמשתמשים באימות הטלפון של Twilio ובשירותים אחרים - כולל Signal, שהנפיקה הצהרה מאשר כי כ-1,900 משתמשים עלולים לחטוף את מספרי הטלפון שלהם בתקרית.
רוב 130 החברות שאליהן התמקדו היו חברות SaaS ותוכנה בארה"ב - לא מפתיע, בהתחשב ב- אופי שרשרת האספקה של המתקפה.
לדוגמה, קורבנות נוספים בקמפיין כוללים חברות שיווק בדוא"ל Klaviyo ו MailChimp. בשני המקרים, הנוכלים הסתלקו עם שמות, כתובות, מיילים ומספרי טלפון של לקוחותיהם הקשורים למטבעות קריפטוגרפיים, כולל עבור לקוח Mailchimp DigitalOcean (שלאחר מכן הפיל את הספק).
In המקרה של Cloudflare, חלק מהעובדים נפלו על התחבולה, אך המתקפה סוכלה הודות למפתחות האבטחה הפיזיים שהונפקו לכל עובד שנדרש לגשת לכל האפליקציות הפנימיות.
ליאור יערי, מנכ"ל ומייסד שותף של Grip Security, מציין כי היקף וסיבת הפריצה מעבר לממצאי Group IB עדיין לא ידועים, ולכן עלולים להתגלות קורבנות נוספים.
"זיהוי כל המשתמשים באפליקציית SaaS לא תמיד קל עבור צוות אבטחה, במיוחד אלה שבהם משתמשים משתמשים בכניסות ובסיסמאות שלהם", הוא מזהיר. "גילוי Shadow SaaS הוא לא בעיה פשוטה, אבל יש פתרונות שיכולים לגלות ולאפס סיסמאות משתמש עבור Shadow SaaS."
הגיע הזמן לחשוב מחדש על IAM?
בסך הכל, הצלחת הקמפיין ממחישה את הקושי בהסתמכות על בני אדם כדי לזהות הנדסה חברתית, ואת הפערים בקיים ניהול זהות וגישה (IAM) מתקרב.
"המתקפה מדגימה עד כמה IAM שברירי היום ומדוע על התעשייה לחשוב על הסרת נטל ההתחברות והסיסמאות מעובדים הרגישים להנדסה חברתית ולהתקפת פישינג מתוחכמת", אומר יערי. "המאמץ הטוב ביותר לתיקון יזום שחברות יכולות לעשות הוא לגרום למשתמשים לאפס את כל הסיסמאות שלהם, במיוחד Okta".
התקרית גם מציינת שארגונים מסתמכים יותר ויותר על הגישה של העובדים שלהם לנקודות קצה ניידות כדי להיות פרודוקטיביים בכוח העבודה המבוזר המודרני, וליצור מגרש דיוג עשיר וחדש לתוקפים כמו שחקני 0ktapus, לפי ריצ'רד מליק, מנהל דיווח איומים ב- זימפריום.
"מדיוג ועד איומי רשת, יישומים זדוניים ועד מכשירים שנפגעו, זה קריטי לארגונים להכיר בכך שמשטח ההתקפה הנייד הוא הווקטור הבלתי מוגן הגדול ביותר לנתונים ולגישה שלהם", כתב בהצהרה שנשלחה בדוא"ל.
